楽にあなたのクラウドを守ろう! - CNAPP概要
要約
- 複数のセキュリティツールを使うのって大変だよね
- CNAPPとは統合セキュリティプラットフォーム っていう概念だよ
- タイトルの「楽に」の意味は、CNAPP導入で結果的に運用が楽になるよ、という意味だよ
- CNAPPを実現するツールは色々あるよ
はじめに
クラウドネイティブアプリケーションのセキュリティ対策で以下のような課題を抱えていませんか?
- 複数のセキュリティツールを個別に運用している
- それぞれが独立した警告を発し、全体像が見えない
- 運用コストが膨大で重要な脅威を見逃すリスクがある
そんな課題を解決するのがCNAPP(Cloud Native Application Protection Platform) です。
本記事では、CNAPPとは何か、なぜ必要なのか、そして実際にどう活用するかについて見ていきます。(偉そうなことを言っていますが、PEK2025で言葉を知りました。)
CNAPPとは
CNAPP(Cloud Native Application Protection Platform) とは、Gartnerが2021年に提唱したクラウドネイティブ環境のセキュリティを保護するための統合セキュリティプラットフォーム です。これは特定ツールを指すものではなく概念 です。
従来のセキュリティツールが個別の領域をカバーしていたのに対し、CNAPPはアプリケーションの開発から運用までのライフサイクル全体を一元的に保護します。
Gartnerって誰?
Gartner(ガートナー)とは、情報技術(IT)分野におけるリサーチ&アドバイザリー会社で、世界的に影響力を持つ組織の一つです。創業者の名前がGartnerで、1979年に設立されました。
CNAPPの概要
出展:https://innetworktech.com/wp-content/uploads/2024/09/July-2024-Gartner-CNAPP-Reprint.pdf
上図はCNAPP定義資料で使われるData Plane / Control Planeの区分をCNAPPの文脈に応用したものです。Data PlaneとControl Planeはネットワーク用語です。
- Data Plane:実際のデータ処理
- Control Plane:管理・制御機能
押さえるべきポイントは6つです。
Data Plane領域
- Development — artifact scanning, testing and analysis
- Exposure scans and attack path analysis
- Runtime analysis and workload protection
Control Plane領域
- Cloud security posture management (CSPM)
- Cloud infrastructure entitlement management (CIEM)
- Kubernetes security posture management (KSPM)
これら全ての領域を包括的に保護しようということです。それぞれは後で詳しく見ていきます。
なぜCNAPPが必要なのか?
従来のクラウドセキュリティの課題
クラウドネイティブ環境を守ろうとすると、個別のセキュリティツールを組み合わせて使う必要がありました。
個別ツール運用の3つの大きな問題
このような状況ですと、いろいろな課題が出てきます。ここでは3つ取り上げます。
1. アラート疲れ(Alert Fatigue)
- CSPM >「S3バケットが公開されてるよ」
- CWPP >「異常なプロセスが検出されたよ」
- SIEM >「不審なログインがあったよ」
複数ツールによる重複アラートや、誤検知・ノイズの多発により対処が困難になります。本当に危険な脅威の判別が非常に困難です。
2. コンテキストの欠如
各ツールが独立しているため、脅威の全体像が見えません。
- 開発時の脆弱性と運用時の攻撃の関連性が把握できない
- インフラとアプリケーション層の相関が見えない
- ビジネスへの影響度を評価できない
- チーム間の情報共有が困難
3. 運用コストの増大
- 複数ツールの習得・運用コスト
- チーム間の情報共有オーバーヘッド
- 重複する機能への投資
CNAPPは開発から運用までのライフサイクル全体を一元的に保護し、これらの課題を根本的に解決します。
CNAPPの構成要素
前述したData Plane領域とControl Plane領域の各要素について詳しく説明します。
Data Plane領域
Data Plane領域は、実際のアプリケーションやワークロードのデータ処理に関わるセキュリティ機能を担当します。
1. Development - 開発段階でのセキュリティ組み込み
開発時にセキュリティ問題を早期発見することで、シフトレフト(問題の早期発見・修正)を実現します。
- アプリケーションセキュリティの洞察
- APIのスキャン・発見・テスト
- Infrastructure as Codeのスキャン
- Policy as Codeによるガードレール実装
- アプリケーションセキュリティ姿勢管理
- 継続的コードコンプライアンス
例
- SBOM/SCA/SAST/DASTによるコードの総合的なセキュリティチェック
- 未文書化APIエンドポイントの自動発見とOWASP API Top 10の脆弱性チェック
- インフラコードのセキュリティ設定不備検出
- コード化されたポリシーによる自動制御とコンプライアンスチェック
- アプリケーション全体のセキュリティ成熟度可視化とリスクダッシュボード
- CI/CDパイプラインに統合されたPCI-DSS、HIPAA、GDPR等の規制要件への継続的準拠確認
2. Exposure scans and attack path analysis - 攻撃経路の可視化と脅威分析
個別の脆弱性ではなく、攻撃者の視点でリスクを評価し、真に危険な脅威を特定します。
- リスク分析と優先度付け
- VM・コンテナの脆弱性・設定・ハードニング
- 鍵・認証情報・シークレット
- 設定ドリフト
- マルウェアチェック
- CI/CD・開発パイプラインのハードニング
- その他の機密データ
例
- 公開されたS3バケット内の個人情報ファイルの検出と影響度評価
- 過度な権限を持つIAMロールから重要なデータベースへのアクセス経路分析
- ハードコードされたAPIキーを経由した外部サービスへの不正アクセス可能性
- 本番環境と同じ認証情報を使用する開発環境の設定ドリフト検出
- CI/CDパイプラインに混入したマルウェアの検出と影響範囲特定
- コンテナイメージ内に含まれる期限切れSSL証明書の特定
3. Runtime analysis and workload protection - 実行時の動的保護
実行時にリアルタイムで脅威を検出・防御し、ゼロデイ攻撃や未知の脅威からも保護します。
- クラウドワークロード保護
- システム整合性監視
- ユーザー・エンティティ行動分析
- エクスプロイト防止・メモリ保護
- クラウド検知・対応
- アプリケーション・プロセス制御
- サーバーレス関数保護
例
- VM、コンテナ、サーバーレス関数の実行時セキュリティ監視と保護
- Webサーバーのシステムファイルが改ざんされた際のアラートと復旧
- 深夜に管理者権限で大量のデータにアクセスする異常行動の検出
- バッファオーバーフロー、ROP/JOP攻撃等の実行時攻撃防止
- 感染したコンテナの自動隔離とクリーンなインスタンスへの自動切り替え
- 許可されたプロセスのみの実行とアプリケーション動作制限
- AWS Lambda、Azure Functions等のサーバーレス環境の実行時保護
Control Plane領域
Control Plane領域は、クラウドインフラやプラットフォームの管理・制御に関わるセキュリティ機能を担当します。
4. Cloud security posture management (CSPM) - クラウド設定のセキュリティ管理
継続的な監視により、設定ミスによるセキュリティリスクを未然に防ぎます。
- クラウドリソースの設定監査
- 設定ドリフトの検出
- コンプライアンスチェック
例
- AWS: S3, EC2, IAM, VPC, RDS, Lambda等の設定監査
- Azure: Storage Account, VM, AD, Network等の設定監査
- GCP: Cloud Storage, Compute Engine, IAM等の設定監査
- S3バケットの公開設定チェック
- セキュリティグループの過度な許可検出
- 暗号化が無効なストレージの特定
- MFA未設定の管理者アカウント検出
5. Cloud infrastructure entitlement management (CIEM) - クラウド権限の適切な管理
最小権限原則を自動化し、権限の適切な管理を実現します。
- 権限の可視化・分析
- 過剰な権限の検出
- 最小権限原則の実装支援
例
- 「AdminFullAccess」権限を持つが実際はS3のみ使用しているユーザーの検出
- 90日間未使用のIAMロール特定
- サービスアカウントの不適切な権限付与検出
- 一時的権限の永続化問題の特定
- クロスアカウントアクセスの権限昇格リスク分析
- 開発環境に本番権限が付与されている問題の検出
6. Kubernetes security posture management (KSPM)
Kubernetesクラスターのセキュリティ管理
Kubernetesの複雑なセキュリティ設定を監査し、コンテナ環境の安全性を確保します。
- K8sクラスター設定の監査
- サードパーティの設定の検証
- コンプライアンスチェック
例
- 特権コンテナ(privileged: true)の実行検出
- hostPID/hostNetworkの不適切な使用検出
- 機密情報のハードコーディング検出
- リソース制限未設定のPod特定
- 過度に広いRBAC権限(cluster-admin等)の検出
- ネットワークポリシー未設定による通信制御不備の特定
- Pod Security Standards違反の自動検出
CNAPPを導入するには?
これだけの機能モリモリのプラットフォームをセルフサービスで作ってね!とはさすがに言えないですね。まあ作っても良いでしょうが、現実的な選択肢はプロダクトに頼るしかないでしょう。ここで、CNAPPを実現するツールについていくつか見てみます。
プロダクト一覧
| 製品名 | URL |
|---|---|
| Wiz | https://www.wiz.io/ja-jp/platform |
| Prisma Cloud | https://www.paloaltonetworks.jp/prisma/cloud |
| Orca Security | https://orca.security/ |
| Lacework | https://www.fortinet.com/jp/products/forticnapp |
| Sysdig Secure | https://www.scsk.jp/sp/sysdig/sysdig_secure.html |
| Trend Micro | https://www.trendmicro.com/ja_jp/business.html |
各プロダクトの詳細な評価は実際の使用経験がないため控えます。また、ここに示したもの以外にも多くのプロダクトが存在しています。
OSS
セルフサービスしたいって?じゃあOSSも見てみましょうか。OSSですと、CNAPPを完全に実現するツールは少ないので、複数ツールを組み合わせて使う必要があるでしょう。
| OSSツール名 | 主な機能・特徴 |
|---|---|
| ThreatMapper | CWPP/CSPM、可視化、ランタイム、イメージスキャン |
| Falco | CWPP、ランタイム異常検知 |
| ScoutSuite | CSPM、マルチクラウドセキュリティ監査 |
| Trivy | 脆弱性スキャン |
他にも多くのツールが存在します。各ツールを深く理解し、すべてを自前で構築するのは骨が折れそうです。
まとめ
今回は統合セキュリティプラットフォーム CNAPPについて見ていきました。
重要なポイント
-
統合アプローチ: 個別ツールから統合プラットフォームへ
- 従来の個別セキュリティツールによる「アラート疲れ」や「コンテキスト欠如」を解決
- CNAPPは開発から運用まで一元的にセキュリティを管理する統合プラットフォーム
-
シフトレフト: 運用時対応から開発時予防へ
- 開発段階でのセキュリティ組み込みにより早期問題発見
- 攻撃者視点でのリスク評価と攻撃経路分析で真に危険な脅威を特定
-
6つの保護領域: Data PlaneとControl Planeでの包括的セキュリティ
- Data Plane: 開発時チェック、攻撃経路分析、実行時保護
- Control Plane: CSPM(クラウド設定管理)、CIEM(権限管理)、KSPM(Kubernetes管理)
Discussion